企業情報

2021.01.20

「情報セキュリティインシデントの消防署」ヤフーのYJ-CSIRT(シーサート)

画像
 

ヤフーの組織内CSIRT(シーサート)である「YJ-CSIRT」は、「顧客情報が盗まれてしまった」「データが消えてしまった」「サイバー攻撃を受けてしまった」などの情報セキュリティインシデントが発生したときだけではなく、脆弱性対策などの予防措置にも取り組んでいます。
今回は、専門組織「YJ-CSIRT」がどんな取り組みを行っているのか、インシデント対応時に大切にしていることなどを聞きました。

画像
林 祐介(はやし ゆうすけ)
セキュリティベンダーで脆弱性診断、飲食店情報検索サイト運営企業でセキュリティ推進、インシデント対応などの担当を経て、2019年入社。CISO室セキュリティ監視室でCSIRTとして勤務。
この業務の魅力は?
「インシデントが発生しないことがもちろん一番ですが、インシデント発生時は事態の収束に向けて関係者が一丸となって取り組むため、収束後に関係者全員で達成感を分かち合えることが、この仕事の大きな魅力だと思います。また、サイバー犯罪を仕掛けてくる悪い人に立ち向かい世の中に貢献できている、と感じられることもやりがいの一つです」

CSIRT(シーサート)と SOC(ソック)の関係

CSIRT(Computer Security Incident Response Team)は、組織内の情報セキュリティインシデントを専門に扱うチームです。突然発生するインシデントに備えて事前に対応体制を構築し、情報セキュリティに関わる脅威情報の収集・分析や新たに発見された脆弱性の対応など、さまざまな活動を行っています。
ヤフーでは、「YJ-CSIRT」の前身となる組織「YIRD」を正式な社内CSIRTとして2006年に設立。その後、2017年7月に名称をYahoo Japan Corp. CSIRT (略称:YJ-CSIRT)に変更しました。脅威情報・脆弱性情報収集を毎日、朝夕に行い、認知後の対応計画から修正対応までをサービス担当者が行うという体制で、分担して対応に取り組んでいます。

CSIRT は「事前」の対応はもちろん、事故などのトラブルが発生している最中にその被害を最小限に食い止めるなど、「事中」の対応や事故からの復旧、事故の原因究明および再発防止策の検討・実施などの「事後」の対応を行います。このような活動は、消防署の活動に似ているといえるかもしれません。
もし火事が発生した場合は、119番通報で駆け付けた消防士が、火災の鎮火に向けて活動しますが、インシデントが発生したときもこれと同じです。たとえば、みなさんが業務で使用しているPCの画面に突然攻撃者からのメッセージが表示されてしまったり、サーバーへの不正なアクセスを検知したりした(火事が発生した)ときの通報先がCSIRTです。CSIRTは連絡を受け取ったらすぐにサービス担当者に連絡して修正(鎮火)してもらいます。そのフォロー(消火活動)に一緒に当たるのが私たちCSIRTの役割です。

また、インシデントが発生したときは、その対応の優先度や対応方法を検討し、「SOC(ソック)」という社内組織と連携して対応します。「SOC」とは「Security Operation Center」の略で、企業のセキュリティ対応において自社の情報システムへの攻撃の監視や分析などを行う専門組織で、これは「警察官(監視)」の仕事に似ているともいわれています。 警察と消防が連携して事件や事故対応を行うように、ヤフーでもCSIRTとSOCが協力しながら、サイバーセキュリティの向上に取り組んでいます。

また、ここ数年でCSIRTを設置している企業は急増し、大学など業界を問わず CSIRTの設置が進んでいます。

ヤフーのCSIRTの一日

1)脆弱性情報、脅威情報の収集
毎朝、新しいインシデント報告はないか、対応中のインシデントに動きはないか、関連ニュースや脅威情報、新しい脆弱性情報はないか、ソフトウェアアップデートの情報がないかを確認します。
2)朝会
毎日SOCメンバーと朝会を実施し、1)で確認した脅威情報、脆弱性情報やその日の行動予定の共有などを行います。また、脅威情報や脆弱性情報を評価する担当者を決めます。
3)3つの業務を各自で行う
・インシデント対応
 インシデント報告の受付を行い、内容から緊急度や優先度をつけて関係者に連絡します。進捗確認や対応支援も行います。
・脅威情報の調査・分析・注意喚起
・脆弱性情報の評価、周知、アップデート
4)夕会
SOCメンバーと夕会を毎日実施し、発生したインシデント、解決したインシデント、進行中のインシデント、新たな脅威情報・脆弱性情報を確認しています。その後、明日の行動予定などを確認します。退勤後や週末も、アラートを受けたら随時対応しています。

ヤフーのCSIRTはプロフェッショナル集団として、常に情報収集を行ってヤフーのサービスに影響があると判断したときは臨機応変なインシデント対応を24時間365日の体制で行っています。

画像

インシデントは必ずしも事件・事故ではない

「インシデント」という言葉から、情報への不正アクセスやウイルス感染など実際に被害が発生した出来事をイメージする方も多いかもしれませんが、実はインシデント=事件・事故とは限りません。一般的には被害が発生する前に未然に防いで、事件・事故にならず終わるものもインシデントと呼ばれます。
たとえば、社内システムに脆弱性(※)が見つかったけれど、何も悪用はされず何も被害が発生しなかった、これも1つのインシデントです。他には、マルウェアが添付されたメールを受信した、社外秘情報を保存した貸与PCを紛失してしまった、これらもインシデントです。私たちCSIRTは、会社の情報資産への被害が出る前にこれらのインシデントの芽を摘むことがとても大切なことだと思っています。

※脆弱性(ぜいじゃくせい)
ソフトウェアなどにおけるセキュリティ上の弱点のことで、OSやソフトウェアにおいて、プログラムの不具合、または設計上のミスなどが原因で発生する「悪用可能なバグ」や「設定不備」など。プログラムは正常に動作するものの、セキュリティ的に弱点がある状態で「本来想定している仕様であればできないはずのことが、できてしまう状態」ともいえる。

インシデント発生時は、情報を収集し適確に判断することが大切

ヤフーのサービスにおいてインシデントが発生してしまったときは、まず、Slackチャンネルを作成し、関係者全員で情報共有できるようにします。そこに情報を集めることで、みんなが同じ情報を同じタイミングで確認できることがメリットです。
全員が同じ会議室にいて対応すると想像してみると、ホワイトボードにどんどん書き込んで情報を集めていくと思うのですが、それと同じ状態にするということが一番大切です。
また、インシデントに対応するためには、関係者の足並みをそろえることも必要です。たとえば、IDに関わる事故が発生した場合、別のサービスでも同じIDを使用していて影響を受ける可能性があります。そのような情報が適宜共有されることで、自分たちにも影響があるのか、どんな事故だったのか、ということを関係者がすぐに把握し、必要な対応を迅速にできるようになります。

今年、ヤフー全社がリモートワークに移行した後のタイミングでインシデントが発生したときは、Slack以外にも、Zoomの部屋をつなぎっ放しにしておき、「何時になったら全員集まって話す」という方法で対応しました。その時間外でも、相談したいことができたらいつでもその部屋に入れば関係者に相談や情報共有ができるようにしていました。
ヤフーには、「担当するサービスで起こしてしまった事故(火事)は自分たちでなんとか解決(消火)しよう」と責任感を持って自主的に進めてくれる担当者が多いと感じます。
ただ、たとえば情報が盗まれた可能性があるときにどうするかなど、全員が会社のルールをすべて把握しているわけではありません。たとえば、個人情報が含まれていた場合は監督省庁に連絡しなければいけない場合があります。そのような場合は渉外部門や法務部門などの担当者に相談をしてください、と促すなど、必要なプロセスに沿ってハンドリングするのもCSIRTの役割です。

インシデント対応に備えて、組織が準備しておけること

「誰が判断して、誰が責任を持つのか」ということが明確な体制になっていれば、インシデント対応にもスムーズに対応できると感じています。
ヤフーには「CISO(Chief Information Security Officer)」という役職をトップとした情報セキュリティ統括組織があります。また、サービス側にも「ISM(Information Security Manager)」というインデント発生時の責任者がいるという点も進めやすさにつながっていると思います。

SOCとの連携において意識しているのは、情報の鮮度を落とさないこと

情報の鮮度があるうちにSOCへ共有することを特に意識しています。たとえば、最近はメールでマルウェアを仕込むという攻撃が増えていますが、どういう文面で来るのが流行っているとか、どのようなファイルでマルウェアを送り付けてくるなどの情報まで伝えられるとSOCでも判断がしやすくなるので、早めに連携して警戒してもらっています。

そのほかにもマルウェア感染活動の活発化や、利用している製品に大きな脆弱性が発見されるなど、影響を受ける可能性のある脅威情報や脆弱性情報が確認された場合には情報連携し、警戒してもらえるよう心がけています。
また、被害発生を未然に防ぐだけでなく、SOCでの業務負荷を減らすためにも、必要に応じてCSIRTから関係者へ注意喚起することが大事だと考えています。情報共有の大切さを普段から意識することで、インシデントの発生防止や早期解決につなげています。

CSIRTは「総合格闘技」やりがい、大変だと感じること

ヤフーでは多種多様なサービスで膨大な量の情報を取り扱っているため、さまざまな脅威やリスクがあります。また、さまざまなシステム間の連携が行われているため、インシデントによっては関係者が多数に及ぶことがあります。
さまざまな関係者と調整を取りつつ情報を集約し、スムーズに事態を収束させることは容易ではありません。発生するインシデントの内容もさまざまなので、早期解決に向けて、どう推進すれば良いのか、試行錯誤しながら対応しています。

インシデント対応では、起きている出来事や被害状況を正しく理解し、整理して適切な関係者に伝え対応すること、これを円滑に行うことは知識や経験を伴うため難しい部分ですが、やりがいを感じるところでもあります。CSIRTは「総合格闘技」だとよくいわれるのですが、技術面での知識から関連法令の知識など幅広く興味や関心を持ち、関係者と円滑にコミュニケーションを取れる人が向いているように思います。

ヤフーが守るべきもの、今後の展望

近年、攻撃者のスキルが上がり使用するツールも充実するなど、誰でも簡単に攻撃できる環境が整いつつあります。また、IoT機器を利用した攻撃も発生しており、年々攻撃が巧妙かつ複雑になっており、いつインシデントが発生してもおかしくない状況です。
受けてしまった攻撃を、100%入り口で防げるわけではないと思っています。そのため、いかに早くインシデントを検知して、いかに早く影響範囲を小さくできるかが、大きなチャレンジです。
ヤフーには、社内外の通信状況をモニタリングしているSOC(ソック)という組織があります。ユーザーのみなさまにYahoo! JAPANのサービスを安心・信頼して使っていただくために、今後もSOCとしっかり連携することで、攻撃の兆候をいち早く見つけて対応する体制をより強化していきたいと考えています。

ヤフーでは、さまざまなサービスを提供しています。その中には、プライバシーやお金にかかわるものもあります。具体的には、下記のものを守っていかなければなりません。

・お客様の個人情報やプライバシー
・パートナー企業との信頼関係
・ヤフーがお客様に提供しているサービス

たとえば、ユーザーが他社のサービスから漏れてしまったIDとパスワードをヤフーでも使い回していた場合、IDとパスワードをそのまま使ってヤフーのサービスにログインされる可能性もあります。このような情報を早めに入手することで、ログインされる前にそのIDを停止するなどの対応が可能です。
そのような対応を行うため、今後もヤフーのCSIRTだけで情報収集するのではなく、グループ会社や他社のCSIRT、NCA(日本シーサート協議会)やJC3(日本サイバー犯罪対策センター)、JPCERT/CC(JPCERTコーディネーションセンター)、 IPA (独立行政法人情報処理推進機構)のような社外組織との連携が必要不可欠になると思います。グループ会社や社外組織ともより密に連携を取り、被害が出る前に一つでも多くのインシデントの芽を摘むことができる体制を整えていきたいです。

ユーザーのみなさまに安心・信頼してご利用いただける安全なサービスの提供を続けるためにも、引き続きしっかりと取り組んでいきます。

画像

【関連リンク】

このページの先頭へ